Sicherheit darf die Cloud nicht mehr ausbremsen 

Für den Kunden sind digital basierte Services sehr bequem, für das Unternehmen datentechnisch eine Herausforderung. Diese Services sind jedoch ohne Einbindung der Cloud häufig nicht möglich, es müssen Daten dort vorgehalten und bearbeitet werden. Kundendaten[FS3] gehören jedoch zu den sensibelsten Gütern eines Unternehmens. Geraten sie in falsche Hände, werden veröffentlicht oder zu erpresserischen Zwecken verwendet - der Reputationsschaden für das Unternehmen wäre nicht auszudenken.

Ab 2017 werden Unternehmen, die die strategische Entscheidung getroffen haben, in Cloud-Anwendungen für geschäftskritische Arbeiten zu investieren, die Cloud Access Security Brokers CASB als eine unerlässliche Sicherheitskontrolle betrachten.

Die Nutzung von Public-Cloud-Lösungen bietet den Unternehmen erhebliche Vorteile: Services können einfach, schnell und kostengünstig aufgesetzt werden, wodurch die Wettbewerbsfähigkeit steigt. Operationelle Kosten sinken, die Verantwortung für das reibungslose Funktionieren trägt der Cloud-Anbieter und Zusammenarbeit und Produktivität steigen.
 
Diesen Vorteilen gegenüber stehen die Bedenken der Unternehmen: Fragen zur Sicherung der Datensicherheit; die Frage, wo die Daten gesichert werden und wer die Kontrolle darüber hat, die immer wichtiger werdende Compliance Themen - werden alle rechtlichen Vorgaben nachweisbar und kontinuierlich eingehalten?

Das Internet ist global und auch wenn die Schweiz neutral ist - der Krieg hat sich heute auf die Wirtschaft ausgedehnt, unsere Daten wecken das Interesse Dritter (sowohl von Staaten als auch von Unternehmen).
Neue Technologien sind Reiz und Risiko zugleich und Cyberwaffen und -angriffe längst kein Mythos mehr!
 
Auch wenn diese Aspekte unvereinbar erscheinen, man kann sie hervorragend miteinander verbinden. Gemäss Gartner besteht ein grosses Marktpotenzial für Cloud Access Security Brokers (CASB).
 
CASB sind, vereinfacht ausgedrückt, Kontrollpunkte zwischen dem Nutzer und der Cloud, die unter anderem folgende Themen überwachen:

• Visibilität: Wer benutzt welche App, welche Daten werden wo abgelegt?

• Schutz vor Datenverlust: Alle Daten werden gemäss ihrer Spezifikationen behandelt.

• Schutz vor Bedrohungen: Entdeckt Malware und auffälligem Verhalten in der Cloud.

• Compliance: Gewährleistungder Einhaltung von Compliance-Richtlinien und Industriestandards.

Nach Angaben von Gartner sind die Sicherheitsbedenken der Unternehmen der Grund dafür, dass bisher mehr als 50% der Unternehmen auf die Nutzung der Cloud verzichtet haben. Mit der zunehmenden Digitalisierung wird dieser Verzicht aber immer mehr zum Verzicht auf Reputation, Gewinn und Marktanteile. Es geht nicht mehr darum, ob ein Unternehmen digitalisierte Services anbietet, sondern darum, wie es sich und seine Daten beim Anbieten dieser Services am besten schützt. In vielen Fällen hat sich die möglichst frühzeitige Einbindung von Sicherheitsbeauftragten bewährt. Ebenso das Hinterfragen von Drittanbietern: Ist es wirklich nötig, sich hier in Abhängigkeiten zu begeben? Und was ist mit der Qualität der von ihnen eingesetzten Systeme und Software? Ist es klug, einem Anbieter, der einer Drittbehörde untersteht, seine Daten zu überlassen?

ELCA hat sich für einen komplementären Ansatz entschieden und setzt auf Diversität oder – mit anderen Worten – einen hybriden Ansatz. Der Vorteil: mehrere Infrastrukturen, Prozesse und Services auf mehreren Ebenen: zum Beispiel eine unternehmenseigene Infrastruktur für besonders schützenswerte Services und Daten, eine „Schweizer Infrastruktur“ (Server und Leitungen in der Schweiz), um Daten nach Schweizer Recht zu schützen und zu verwalten, sowie eine reine Cloud-Lösung für nicht-sensible Daten. Natürlich auch hier mit optimalem Schutz, zum Beispiel durch Features wie virtuelle Anwendungen, Cloud Access Security Broker und Multifaktor Authentification (trustID).
 
ELCA hat eine personalisierte CASB-Lösung entwickelt, die

• ein CASB-Produkt umfasst, das alle für Visibilität, Schutz vor Datenverlust, Schutz vor Bedrohungen und für die Zugangskontrolle erforderlichen Funktionen abdeckt.

• eine fortschrittliche Konfiguration über eine benutzerfreundliche Oberfläche ermöglicht.

•  in der Schweiz oder direkt im Unternehmen gehostet ist.

In Sicherheitsfragen gibt es weder einen direkten ROI (Return on Investment), noch lässt er sich messen. Sporadisch Sicherheitsaudits durchzuführen, bei denen nur die ständige Weiterentwicklung des IT-Ökosystems geprüft wird, und ausschliesslich den Minimalstandard anzuwenden sind jedoch Fehler, die man vermeiden sollte. Zumal auch die Mitbewerber über Talente verfügen. Der Zugang zu Daten muss kontinuierlich verfolgt werden können; Überwachungstools und eine eindeutige Strategie für das Identity- und Access-Management sind zwingend. Unternehmen wie ELCA oder Kudelski, die bereits über eine langjährige Erfahrung in diesen Bereichen verfügen und unabhängig von grossen Dienstleistungsunternehmen sind, können den Unternehmen eine entscheidende und neutrale Unterstützung liefern.
 
Der Weg zum sicheren Cloud-Computing ist noch längst nicht geebnet und auch nicht vollkommen frei von Gefahren. Bislang gibt es nur sehr wenige Unternehmen, die über ein ausreichendes Know-how verfügen, um die erforderlichen Entscheidungen selber treffen zu können. Mit professionellen Spezialisten, die fundierte Erfahrungen in den Technologien und Tätigkeitsbereichen der Unternehmen aufweisen. Gemeinsam sollte es gelingen, eine Road Map zu definieren und umzusetzen, um die Reputation des Unternehmens zu stützen, seine Gewinne zu steigern und seine Marktanteile zu konsolidieren und zu erhöhen.